open search
close
Datenschutz

Das Privacy Shield – Eine Verbesserung für Unternehmen?

Print Friendly, PDF & Email
Privacy Shield

Knapp einen Monat hat es gedauert, ehe die EU-Kommission am 29. Februar Einzelheiten zu der zuvor verkündeten politischen Einigung über ein neues Abkommen zu transatlantischen Datenübermittlungen bekanntgab (Pressemitteilung v. 29.02.2016). Die als „EU-US Privacy Shield“ bezeichnete Angemessenheitsentscheidung ist eine Reaktion auf die Rechtsprechung des EuGH, der in der Rechtssache Schrems am 6. Oktober letzten Jahres das „Safe Harbor“-Abkommen für unwirksam erklärt hatte (C-362/42). Nach monatelangen Verhandlungen und kurz nach Ablauf einer Übergangszeit, in der die europäischen Datenschutzbehörden Datentransfers von der EU in die USA trotz Unwirksamkeit der bisherigen Regelungen duldeten, einigten sich die EU und das U.S. Department of Commerce damit auf ein Nachfolgeabkommen für Safe Harbor, quasi den „Sicheren Hafen 2.0“. Um den im Urteil des EuGH aufgestellten Anforderungen gerecht zu werden, sollen US-Unternehmen strengeren Auflagen zum Schutz der personenbezogenen Daten europäischer Bürger unterliegen. Hat die Zeit der Rechtsunsicherheit im Datenschutzrecht für Unternehmen damit ein Ende?

Was bedeutet das Privacy Shield für Unternehmen?

Dem Privacy Shield liegen ähnliche Grundsätze wie seinem „Safe-Harbor“-Vorgänger zugrunde. Im Rahmen einer Selbstzertifizierung müssen Unternehmen als Empfänger personenbezogener Daten in den USA weiterhin bestätigen, dass sie die Daten nur unter Beachtung der Vorgaben europäischer Datenschutzbehörden verarbeiten und nutzen. Inhaltlich ist aus den veröffentlichten Dokumenten ersichtlich, dass mit dem neuen Datenschutzschild unter anderem die staatlichen Kontrollen und die Beschwerdemöglichkeiten der betroffenen Bürger verbessert werden sollen. Konkret soll etwa ein Ombudsmann im US-Außenministerium eingerichtet werden, an den sich EU-Bürger bei Beschwerden zum Umgang ihrer personenbezogenen Daten wenden können. Beteiligte Unternehmen sollen zudem Eingaben von Bürgern binnen 45 Tagen beantworten. Im Falle eines Verstoßes gegen diese Pflichten drohen den Unternehmen verschiedene Sanktionen, die von einer Beschwerde bei den nationalen Datenschutzbeauftragten über der Einleitung eines Schiedsverfahrens bis zu einem Ausschluss aus dem „sicheren Hafen“ reichen.

Betroffen von den neuen Regelungen für transatlantische Datenflüsse sind vor allem US Unternehmen, die Beschäftigtendaten von der EU zu einer in den USA sitzenden Mutter- oder Tochtergesellschaft übermitteln, welche Safe Harbor zertifiziert sind. Darüber hinaus können jedoch auch mittelständische Unternehmen von den Regelungen betroffen sein, etwa wenn sie Kunden- oder Beschäftigtendaten in Rechenzentren in den USA speichern, was regelmäßig bei web-basierten „Cloud“-Lösungen mit Servern in den USA der Fall ist. In praktischer Hinsicht sind damit insbesondere die „klassischen“ Bereiche wie IT, HR (z.B. HR Informationssysteme wie HRIS) und Kommunikation (z.B. Social Media wie Facebook) betroffen. Daneben sind die Regelungen aber auch für eher „unverdächtige“ Bereiche wie Sales und Marketing (z.B. Newsletterversand per E-Mail oder Umfragetools wie Survey Monkey), Travel Management (Analyse Tools zu Flugpreisen oder Security Tools wie „Travel Tracker“) und Compliance (z.B. Whistleblower Hotlines) von Bedeutung.


Wozu das Ganze?

Eine Übermittlung personenbezogener (Arbeitnehmer-) Daten an ein (Konzern-) Unternehmen außerhalb der EU bedarf mangels Konzernprivileg im deutschem Datenschutzrecht der doppelten Rechtfertigung: Zum einen muss die Datenerhebung an sich rechtmäßig sein. Da Arbeitnehmerdaten oftmals zur Durchführung des Beschäftigungsverhältnisses erhoben werden, ist die eigentliche Datenverarbeitung in einigen Fällen schon gem. § 32 S. 1 Bundesdatenschutzgesetz (BDSG) erforderlich oder jedenfalls aufgrund einer geltenden Kollektivvereinbarung zum Datenschutz gerechtfertigt. Darüber hinaus verlangt die Vorschrift des § 4b Abs. 2 S. 2 BDSG jedoch, dass der Empfänger der Daten ein angemessenes Datenschutzniveau gewährleistet. Und hier fangen die Probleme an.

Die EU-Kommission hatte bereits im Jahre 1999 entschieden, dass die USA kein angemessenes Datenschutzniveau gewährleisten (Opinion 1/99, WP 15). Abhilfe verschaffte das Safe-Harbor-Abkommen der Kommission KOM Nr. 2000/520/EG aus dem Jahr 2000. Nachdem dieses jedoch durch den EuGH im Oktober 2015 für unwirksam erklärt wurde, stand es zur Gewährleistung eines für den legalen Datentransfer in die USA erforderlichen Datenschutzniveaus jedoch nicht mehr zur Verfügung. Vielmehr sind die USA seitdem wie ein „normaler“ Drittstaat zu behandeln. Das Privacy Shield ist also dringend erforderlich, um Datenübermittlungen in die USA bzw. auf in den USA sitzenden Servern zu legitimieren.

Wie geht es weiter?

Kurz- und mittelfristig erhöht das neue Privacy Shield die Rechtssicherheit bei transatlantischen Datentransfers, da sich datenverarbeitende Unternehmen statt den alten Safe-Harbor- nun den Privacy-Shield-Regelungen unterwerfen können. Zu beachten ist jedoch zum einen, dass der neue „Schutzschild“ noch nicht offiziell verabschiedet ist. So sind zunächst die Stellungnahmen der 28 Mitgliedstaaten und der sogenannten „Artikel 29-Gruppe“, eines von der EU-Kommission gem. Art. 29 Richtlinie 95/46/EG (Datenschutzrichtlinie) eingesetzten Datenschutzgremiums, abzuwarten. In diesem Zusammenhang ist insbesondere fraglich, ob sich die europäischen Datenschutzbehörden auf eine einheitliche Position verständigen werden oder ob es nationale Besonderheiten geben wird. Für Deutschland ist diese Frage von besonderer Bedeutung, da die staatliche Aufsicht über die Datenverarbeitung hier – anders in vielen anderen Mitgliedstaaten – nicht durch eine zentrale Aufsichtsbehörde, sondern sowohl vom Bundesbeauftragten als auch den 16 Landesbeauftragten für den Datenschutz ausgeübt wird.

Unternehmen gewinnen durch das Privacy Shield daher vor allem eins: Zeit. Ob das neue Abkommen indes auch langfristig Bestand haben wird, darf bezweifelt werden. Datenschützer kritisieren den neuen „Schutzschild“ nämlich als zu unverbindlich und sehen in ihm lediglich ein Safe Harbor Abkommen im neuen Anstrich („Putting Lipstick on a Pig“). Vor diesem Hintergrund kann nicht ausgeschlossen werden, dass auch das Privacy Shield nicht den strengen Anforderungen des EuGH gerecht wird und einer gerichtlichen Überprüfung nicht standhalten wird.

Wahl des richtigen Gestaltungsmittels

Für Unternehmen, die sich bei der Übermittlung personenbezogener Daten in die USA nicht allein auf das Privacy Shield verlassen wollen, kommen insbesondere (noch) Corporate Binding Rules (BCR) für unternehmensinterne Übermittlungen und Nutzung der EU-Standard-Vertragsklauseln in Betracht. Ob mit der Begründung des EuGH auch diese in Frage gestellt werden müssen, ist derzeit umstritten, aber der einzig logische Schluss. Allerdings bekräftigte die „Art. 29-Gruppe“, dass die Verwendung dieser Optionen bis auf weiteres toleriert werde. Es ist jedoch zu erwarten, dass insbesondere die deutschen Datenschutzbehörden diese Ansicht nicht teilen könnten. Die bislang eher zurückhaltende Sanktionspraxis könnte daher nun aufgegeben werden, wie durch die angekündigte Verhängung von Ordnungsgeldern etwa durch den Hamburgischen Datenschutzbeauftragten oder die flächendeckende Versendung von Fragebögen in Baden-Württemberg indiziert.

Wir werden Sie an dieser Stelle selbstverständlich über die weiteren Entwicklungen zu diesem Thema informieren und dazu passende Handlungsempfehlungen geben.

KLIEMT.Arbeitsrecht




Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 70 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.